ALT Linux Community general discussions
 help / color / mirror / Atom feed
* [Comm] Настройка iptables и кто-же открыл порт?
@ 2006-11-10 14:41 Oleg Dolgov
  2006-11-10 14:48 ` diver
                   ` (2 more replies)
  0 siblings, 3 replies; 6+ messages in thread
From: Oleg Dolgov @ 2006-11-10 14:41 UTC (permalink / raw)
  To: community

Здравствуйте.

Помогите разобраться в ситуации.
Настроил себе iptables руками (по iptables-tutorial). Вроде все
работает, в связи с чем был несказанно рад за себя :-) Самостоятельно
разобрался в незнакомом для себя деле.

Решил проверить эффективность. Наружу заведомо открыл только 22 порт
(ssh). Захожу в инет с мобилки и пытаюсь просканировать свой сервак
(ip белый). И к своему удивлению обнаруживаю:

Address : "мой АйПи"
Ping .... Ok, Time : 1642
Port  22 (ssh)             ... Ok !  Send data.  Wait incoming data ..
data received. SSH-1.99-OpenSSH_3.6.1p2
Port  21 (ftp)             ... Ok !  Send data.  Wait incoming data ..
no data. 2 (of 91) open port(s) detected

Done

Откуда взялся Port  21 (ftp)?

Правила, касающиеся INPUT (по умолчанию DROP):

$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j
ACCEPT 
$IPTABLES -A allowed -p TCP -j DROP

$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -p TCP -j tcp-packets

$IPTABLES -A tcp-packets -p TCP -s 0/0 --dport 22 -j allowed

Остальные -A tcp-packets -p TCP -i $LAN_IFACE --dport разные там.

21-й вообще нигде не фигурирует. Предполагаю, что его инициирует
какая-то внутренняя служба, т.к.

$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT

В общем у меня идей нет :-(

-- 
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454



^ permalink raw reply	[flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
  2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
@ 2006-11-10 14:48 ` diver
  2006-11-10 14:59 ` Dmitriy L. Kruglikov
  2006-11-10 15:07 ` Alexey Borovskoy
  2 siblings, 0 replies; 6+ messages in thread
From: diver @ 2006-11-10 14:48 UTC (permalink / raw)
  To: ALT Linux Community

2006/11/10, Oleg Dolgov <dolgov@mail.zp.ua>:
> Здравствуйте.
>
> Помогите разобраться в ситуации.
> Настроил себе iptables руками (по iptables-tutorial). Вроде все
> работает, в связи с чем был несказанно рад за себя :-) Самостоятельно
> разобрался в незнакомом для себя деле.
>
> Решил проверить эффективность. Наружу заведомо открыл только 22 порт
> (ssh). Захожу в инет с мобилки и пытаюсь просканировать свой сервак
> (ip белый). И к своему удивлению обнаруживаю:
>
> Address : "мой АйПи"
> Ping .... Ok, Time : 1642
> Port  22 (ssh)             ... Ok !  Send data.  Wait incoming data ..
> data received. SSH-1.99-OpenSSH_3.6.1p2
> Port  21 (ftp)             ... Ok !  Send data.  Wait incoming data ..
> no data. 2 (of 91) open port(s) detected
>
> Done
>
> Откуда взялся Port  21 (ftp)?
>
> Правила, касающиеся INPUT (по умолчанию DROP):
>
> $IPTABLES -A allowed -p TCP --syn -j ACCEPT

... что значит "Разрешить все пакеты что инициализируют соединение".
А надо, разрешить тем кому надо, а в конце где-то тоже правило но -j DROP


-- 
-=-=-=-=-=-==-=-=-=-=-=-=-=-=-=-=-=-=-=-=
Have A Nice Night[Day]. WBR, -=DiVeR=-
-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-

^ permalink raw reply	[flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
  2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
  2006-11-10 14:48 ` diver
@ 2006-11-10 14:59 ` Dmitriy L. Kruglikov
  2006-11-13 10:00   ` Oleg Dolgov
  2006-11-10 15:07 ` Alexey Borovskoy
  2 siblings, 1 reply; 6+ messages in thread
From: Dmitriy L. Kruglikov @ 2006-11-10 14:59 UTC (permalink / raw)
  To: ALT Linux Community

На календаре было: Пятница, 10 Ноябрь 2006 года,
Oleg Dolgov писал(а) в сообщении: 

OD == Oleg Dolgov

OD> В общем у меня идей нет :-(
Ну, тогда для начала, проверь, что запущено и на каких портах ...
Например:
netstat -nap | more ...
Тут будут тебе и порты, и сокеты ...
А там, уже, видно будет ... :)



--
Best regards,
 Dmitriy L. Kruglikov                     .--.
 Dmitriy.Kruglikov_at_orionagro.com.ua   |@_@ |
 DKR6-RIPE                               |!_/ |
 ICQ# 13047326                          //   \ \
 XMPP:dkr6@jabber.ru                   (|     | )
                                      /'\_   _/`\
Powered by Linux                      \___)=(___/
 
-- Мысль --
Месье знает толк в извращениях!
		-- Harliff (linux.org.ru)


^ permalink raw reply	[flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
  2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
  2006-11-10 14:48 ` diver
  2006-11-10 14:59 ` Dmitriy L. Kruglikov
@ 2006-11-10 15:07 ` Alexey Borovskoy
  2 siblings, 0 replies; 6+ messages in thread
From: Alexey Borovskoy @ 2006-11-10 15:07 UTC (permalink / raw)
  To: ALT Linux Community

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Oleg Dolgov пишет:

> Откуда взялся Port  21 (ftp)?
> $IPTABLES -A allowed -p TCP --syn -j ACCEPT

Отсюда взялся. "Разрешить установку новых входяших соединений без
ограничений".

Можно к примеру так:

$IPT -P INPUT DROP

$IPT -F INPUT

##INPUT

$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state INVALID -j DROP

$IPT -A INPUT -p icmp --icmp-type 8 -j ACCEPT
$IPT -A INPUT -p icmp --icmp-type 11 -j ACCEPT

$IPT -A INPUT -m limit --limit 3/min -j LOG --log-level DEBUG

- --
Алексей.
GPG key fingerprint
949B BC0E 2C44 7528 4F63 2753 E37A 9E3F 11F3 BDE1
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)
Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org

iD8DBQFFVJW043qePxHzveERAoKKAJ9WdWupRTRVYXMSWI8DiL6yfVp+ngCgo+8V
tFNJLP7Xzi8w3UzXHiRIbpo=
=cUS9
-----END PGP SIGNATURE-----


^ permalink raw reply	[flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
  2006-11-10 14:59 ` Dmitriy L. Kruglikov
@ 2006-11-13 10:00   ` Oleg Dolgov
  2006-11-13 10:52     ` Maxim Ivanov
  0 siblings, 1 reply; 6+ messages in thread
From: Oleg Dolgov @ 2006-11-13 10:00 UTC (permalink / raw)
  To: community

> # netstat -nap
> | grep 21 unix  3      [ ]         STREAM     CONNECTED     181921
> | 6976/0
> unix  2      [ ]         DGRAM                    2156   1551/apmd
> 
> Вроде нет ничего :-\
> Да и служба не представляется при сканировании.
> 
> А по поводу соседнего письма:
> >> Откуда взялся Port  21 (ftp)?
> >> $IPTABLES -A allowed -p TCP --syn -j ACCEPT
> 
> >Отсюда взялся. "Разрешить установку новых входяших соединений без
> >ограничений".
> 
> Так это разрешено только с внутреннего интерфейса (eth1) в цепочке
> INPUT и _только_так_. Никому более (из вне, FORWARD) катоко не
> позволено.

PS. Третий раз отправляю письмо. :-\
Что-то gmane.org дает мне отлуп:
This is the Postfix program at host mail.zp.ua.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

			The Postfix program

<community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org>: host
    main.gmane.org[80.91.229.2] said: 550 relay not permitted (in reply
to RCPT TO command)


[message/delivery-status (400B)]
Reporting-MTA: dns; mail.zp.ua
X-Postfix-Queue-ID: 3E477FF2ABD
X-Postfix-Sender: rfc822; dolgov@mail.zp.ua
Arrival-Date: Mon, 13 Nov 2006 09:09:56 +0200 (EET)

Final-Recipient: rfc822;
community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org Action:
failed Status: 5.0.0
Diagnostic-Code: X-Postfix; host main.gmane.org[80.91.229.2] said: 550
relay not permitted (in reply to RCPT TO command)

-- 
С наилучшими,
Олег Долгов
<dolgov AT mail DOT zp DOT ua>
Registered Linux user #315454


^ permalink raw reply	[flat|nested] 6+ messages in thread
* Re: [Comm] Настройка iptables и кто-же открыл порт?
  2006-11-13 10:00   ` Oleg Dolgov
@ 2006-11-13 10:52     ` Maxim Ivanov
  0 siblings, 0 replies; 6+ messages in thread
From: Maxim Ivanov @ 2006-11-13 10:52 UTC (permalink / raw)
  To: dolgov, ALT Linux Community

Ваш провайдер попал в черный список RBL.
С этого домена мой почтовик тоже письма не принимает.
Какая-то нехорошая личность спам видимо рассылает.

> PS. Третий раз отправляю письмо. :-\
> Что-то gmane.org дает мне отлуп:
> This is the Postfix program at host mail.zp.ua.
>
> I'm sorry to have to inform you that your message could not
> be delivered to one or more recipients. It's attached below.
>
> For further assistance, please send mail to <postmaster>
>
> If you do so, please include this problem report. You can
> delete your own text from the attached returned message.
>
>                         The Postfix program
>
> <community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org>: host
>     main.gmane.org[80.91.229.2] said: 550 relay not permitted (in reply
> to RCPT TO command)
>
>
> [message/delivery-status (400B)]
> Reporting-MTA: dns; mail.zp.ua
> X-Postfix-Queue-ID: 3E477FF2ABD
> X-Postfix-Sender: rfc822; dolgov@mail.zp.ua
> Arrival-Date: Mon, 13 Nov 2006 09:09:56 +0200 (EET)
>
> Final-Recipient: rfc822;
> community-XbBxUvOt3X3HsNE/8sQLYR2eb7JE58TQ@public.gmane.org Action:
> failed Status: 5.0.0
> Diagnostic-Code: X-Postfix; host main.gmane.org[80.91.229.2] said: 550
> relay not permitted (in reply to RCPT TO command)
>
>
> Community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community

^ permalink raw reply	[flat|nested] 6+ messages in thread
end of thread, other threads:[~2006-11-13 10:52 UTC | newest]

Thread overview: 6+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2006-11-10 14:41 [Comm] Настройка iptables и кто-же открыл порт? Oleg Dolgov
2006-11-10 14:48 ` diver
2006-11-10 14:59 ` Dmitriy L. Kruglikov
2006-11-13 10:00   ` Oleg Dolgov
2006-11-13 10:52     ` Maxim Ivanov
2006-11-10 15:07 ` Alexey Borovskoy

ALT Linux Community general discussions

This inbox may be cloned and mirrored by anyone:

	git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git

	# If you have public-inbox 1.1+ installed, you may
	# initialize and index your mirror using the following commands:
	public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
		mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
	public-inbox-index community

Example config snippet for mirrors.
Newsgroup available over NNTP:
	nntp://lore.altlinux.org/org.altlinux.lists.community


AGPL code for this site: git clone https://public-inbox.org/public-inbox.git